URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 74237
[ Назад ]

Исходное сообщение
"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."

Отправлено opennews , 24-Янв-11 22:32 
Обзор недавно обнаруженных уязвимостей:


-  В канальном SIP-драйвере из состава пакета Asterisk обнаружена уязвимость (http://downloads.asterisk.org/pub/security/AST-2011-001.pdf), потенциально позволяющая злоумышленнику организовать выполнение своего кода на сервере путем передачи специально оформленного блока информации об инициаторе звонка. Для успешного проведения атаки  SIP-драйвер должен быть сконфигурирован со включенной опцией "pedantic". Проблема исправлена (http://www.asterisk.org/node/51557) в корректирующих выпусках  Asterisk 1.4.38.1,
1.4.39.1, 1.6.1.21, 1.6.2.15.1, 1.6.2.16.1, 1.8.1.2 и 1.8.2.2 (исправление было заявлено в версии 1.8.2.1 но из-за ошибки уязвимость не была (http://www.asterisk.org/node/51564) в ней исправлена);
-  Компания Oracle выпустила (http://www.oracle.com/technetwork/topics/security/cpujan2011...) январский набор патчей с устранением 66 уязвимостей в своих продуктах.


- В офисных пакетах Oracle Open Office 3.2.1 и StarOffice/Star...

URL:
Новость: http://www.opennet.me/opennews/art.shtml?num=29361


Содержание

Сообщения в этом обсуждении
"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."
Отправлено Аноним , 24-Янв-11 22:32 
> Примечательно, что в OpenOffice.org данные уязвимости были устранены еще летом;

что бы не утверждали рекламы, но в проприетарном софте(будь то os windows или oracle субд) дырки не торопятся латать...


"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."
Отправлено Аноним , 25-Янв-11 04:46 
если у Вас нет договора на поддкржку...
Например у Нас куплен дрвеб ентерпрайс и подписка, Наш сервер получает новые вирусные базы на несколько часов раньше, нежели обновится куреит или ливсиди...
За деньги - прямщяз, бесплатно - чутьпозже... Всем же кушать хотца...

"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."
Отправлено reinhard , 25-Янв-11 06:19 
А мне вот интересно, те бедолаги, которые купили обычный drweb за 700 р. тоже получают обновления на несколько часов позже, чем счастлывые обладатели Ынтерпрайза?

"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."
Отправлено Sergey722 , 25-Янв-11 10:10 
Наш сервер получает новые вирусные базы на несколько часов раньше, нежели эти вирусы появляются в сети.

"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."
Отправлено Аноним , 25-Янв-11 15:49 
> Наш сервер получает новые вирусные базы на несколько часов раньше, нежели эти
> вирусы появляются в сети.

Это как? В интернете вирусы еще не появились, а базы с ними уже есть?


"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."
Отправлено незарегистрированный аноним , 25-Янв-11 17:28 
>> Наш сервер получает новые вирусные базы на несколько часов раньше, нежели эти
>> вирусы появляются в сети.
> Это как? В интернете вирусы еще не появились, а базы с ними
> уже есть?

Именно так. Сначала обновляем базу тем, кто заплатил, через несколько часов пускаем вирус для тех, кто ещё заплатит :)))


"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."
Отправлено Гость , 28-Янв-11 20:56 
ей богу ! не удивлюсь, если именно так и окажется :) и  когда-нибудь и как всегда случайно раскроется :)

"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."
Отправлено User294 , 25-Янв-11 15:46 
> За деньги - прямщяз, бесплатно - чутьпозже... Всем же кушать хотца...

А на багрепорт о крахе при попытке проверить некий безобидный тарбол с сорсами от триального юзера - паутинычи вааще положили жирный болт. И не ответили ничего, и баг не починен оставался, как минимум несколько лет - точно (потом я просто забил на мониторинг состояния дел у паутиныча болт).

При том дох паутиныч весьма эпично: засирая %TEMP% и выжирая оперативку оптом. Когда место в темпе или оперативка кончается - паутиныч с грохотом наворачивается. Запросто утащив за собой полсистемы, т.к. мало какакие программы ожидают невозможность создать временный файл или выкроить себе память.

Кстати, я как-то не думаю что для Ынтерпрайзных юзеров они отдельно от всех сделали специальную версию не снабженную таким багом. Какой же дебил будет майнтенансить кучу версий ради неизвестно чего? :))) В общем ынтерпрайзники с лапшой на ушах - забавные парни. Наивно верят что для них специально попу рвут. Ну да, щаззз. Чтобы для вас специально девелопали именно кастом версию - надо как правило весьма много денег отсандалить ;)

P.S. кстати чем оперативнее вы получаете апдейт, тем вероятнее что грабли в нем (if any) икнутся именно вам. Если вы протупите несколько часов и саппорт встанет раком от наплыва кастомеров с проблемами - проблемный апдейт скорее всего резвенько выпилят чтобы избежать развития ситуации. Но если вы его на свой окорок отхватили уже скорее-быстрее - ну извините. В общем гордиться тем что вы выступаете тестером всех апдейтов "на передовой" в крутом Ынтерпрайзе может только не сильно умный человек, имхо ;).


"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."
Отправлено вася , 24-Янв-11 23:24 
> В СУБД Oracle найдено 6 опасных уязвимостей, используя которые аутентифицированный злоумышленник может получить доступ к закрытой информации и повысить свои привилегии;

Ужас, любой SCOTT мог стать DBA ;)


"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."
Отправлено Аноним , 25-Янв-11 08:07 
Только дебил с sql.ru оставит демонстрационные аккаунты в боевой базе.

"Уязвимости в Asterisk, СУБД Oracle, Open Office, VirtualBox,..."
Отправлено User294 , 25-Янв-11 15:51 
> Только дебил с sql.ru оставит демонстрационные аккаунты в боевой базе.

А практика подсказывает: "дефолты решают". Готов поспорить, вы были бы удивлены узнав сколько в мире найдется дебилов, которые именно это самое и сделают. Просто не ожидая подлян в дефолтах и не грея мозг особо. Дефолты должны быть безопасными.